DE4124987A1 - System zur ansteuerung sicherheitsrelevanter systeme - Google Patents
System zur ansteuerung sicherheitsrelevanter systemeInfo
- Publication number
- DE4124987A1 DE4124987A1 DE19914124987 DE4124987A DE4124987A1 DE 4124987 A1 DE4124987 A1 DE 4124987A1 DE 19914124987 DE19914124987 DE 19914124987 DE 4124987 A DE4124987 A DE 4124987A DE 4124987 A1 DE4124987 A1 DE 4124987A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- channels
- units
- systems
- computer units
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000012806 monitoring device Methods 0.000 claims description 36
- 230000006870 function Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 15
- 230000007257 malfunction Effects 0.000 claims description 12
- 230000015654 memory Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 4
- 238000002485 combustion reaction Methods 0.000 claims description 2
- 230000003111 delayed effect Effects 0.000 claims description 2
- 230000003068 static effect Effects 0.000 description 14
- 238000012360 testing method Methods 0.000 description 11
- 230000006399 behavior Effects 0.000 description 9
- 239000003990 capacitor Substances 0.000 description 9
- 238000000034 method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 5
- 101000860173 Myxococcus xanthus C-factor Proteins 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000010720 hydraulic oil Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- NQLVQOSNDJXLKG-UHFFFAOYSA-N prosulfocarb Chemical compound CCCN(CCC)C(=O)SCC1=CC=CC=C1 NQLVQOSNDJXLKG-UHFFFAOYSA-N 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D7/00—Steering linkage; Stub axles or their mountings
- B62D7/06—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins
- B62D7/14—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins the pivotal axes being situated in more than one plane transverse to the longitudinal centre line of the vehicle, e.g. all-wheel steering
- B62D7/148—Steering linkage; Stub axles or their mountings for individually-pivoted wheels, e.g. on king-pins the pivotal axes being situated in more than one plane transverse to the longitudinal centre line of the vehicle, e.g. all-wheel steering provided with safety devices
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60K—ARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
- B60K28/00—Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions
- B60K28/10—Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions responsive to conditions relating to the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T8/00—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
- B60T8/32—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
- B60T8/88—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
- B60T8/885—Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B62—LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
- B62D—MOTOR VEHICLES; TRAILERS
- B62D5/00—Power-assisted or power-driven steering
- B62D5/04—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
- B62D5/0457—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
- B62D5/0481—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
- B62D5/0484—Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T2270/00—Further aspects of brake control systems not otherwise provided for
- B60T2270/40—Failsafe aspects of brake control systems
- B60T2270/406—Test-mode; Self-diagnosis
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Steering Control In Accordance With Driving Conditions (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Safety Devices In Control Systems (AREA)
- Regulating Braking Force (AREA)
Description
Die Erfindung betrifft ein System der Gattung des Hauptanspruchs.
Bei Ansteuerungen von Stellgliedern sicherheitsrelevanter Systeme
sind hinsichtlich der Sicherheit hohe Anforderungen zu stellen. Dies
betrifft insbesondere sicherheitsrelevante Systeme, deren Stellglie
der rechnergesteuert betätigt werden. Solche sicherheitsrelevanten
Systeme sind beispielsweise auf dem Gebiet der Kraftfahrzeugtechnik
zu finden. Hier sind besonders Systeme als sicherheitsrelevant ein
zustufen, die in die Längs- und/oder Querdynamik des Fahrzeugs ein
greifen. Sicherheitskritische Eingriffe in die Längsdynamik eines
Kraftfahrzeugs sind beispielsweise Eingriffe in die Vortriebsrege
lung (elektrischer Drosselklappensteller) oder Eingriffe bezüglich
des Bremsverhaltens (Antiblockiersysteme). Sicherheitsrelevante Sy
steme, die insbesondere die Querdynamik eines Kraftfahrzeugs beein
flussen, sind beispielsweise Lenksysteme. Insbesondere bei rechner
gesteuerten Ansteuerungen von Stellgliedern solcher Lenksysteme sind
hohen Sicherheitsanforderungen Genüge zu leisten. Im einzelnen soll
hier auf Kraftfahrzeuge eingegangen werden, deren hintere Achse oder
Achsen zusätzlich zu denen der Vorderachse lenkbar ausgelegt sind.
Zur Erhöhung der Fahrstabilität bzw. zur Verbesserung der Manövrier
barkeit eines Fahrzeugs kann man von der bisher üblicherweise ver
wendeten konventionellen Vorderradlenkung übergehen zu einer Hinter
achs-Zusatzlenkung. Durch aktive Lenkansteuerungen der Hinterräder
bestehen wesentlich mehr Möglichkeiten zur Verbesserung des Verhal
tens als bei einer reinen Vorderradlenkung. Durch eine Hinter
achs-Zusatzlenkung können das Eigenlenkverhalten und das Ansprech
verhalten eines Fahrzeugs in einem großen Bereich modifiziert wer
den. Im allgemeinen wird die Richtung, in welcher die hinteren Räder
gelenkt werden, bei solchen Anordnungen abhängig von der Fahrge
schwindigkeit gewählt. Bei hohen Geschwindigkeiten werden die Hin
terräder gleichsinnig mit den Vorderrädern, d. h. in derselben Rich
tung wie die Vorderräder, gelenkt. Hierdurch reagiert das Fahrzeug
schneller auf Richtungsänderungen. Bei sehr niedrigen Geschwindig
keiten werden die Hinterräder gegensinnig, d. h. in entgegenge
setzter Richtung zu den Vorderrädern, gelenkt, um den Wendekreis des
Fahrzeugs zu reduzieren. So erreicht man, daß mit dem Fahrzeug enge
re Kurven gefahren werden können, was beispielsweise das Einparken
vereinfacht.
Ein solches System wird beispielsweise in der DE-OS 37 38 650 vorge
stellt, wobei das Rückstellmoment des Kraftfahrzeugs erhöht wird,
wenn eine seitliche Kraft (Seitenwind) auf dieses wirkt.
In der DE-OS 39 26 377 sind verschiedene Ausgestaltungen elektroni
scher Steuergeräte, insbesondere zur Steuerung von Brennkraftmaschi
nen, mit besonders hoher Zuverlässigkeit beschrieben. Diese Steuer
geräte weisen neben dem Hauptrechner einen Nebenrechner auf, der den
Hauptrechner überwacht und bei Ausfall des Hauptrechners Notfunktio
nen ausübt. Weiterhin sind für jeden Rechner Watch-Dog-Schaltungen
vorhanden. Bei diesen Steuergeräten werden durch Plausibilitätsbe
trachtungen der Überwachungsergebnisse der Watch-Dog-Schaltungen und
des Datenaustausches der beiden Rechner untereinander Ansteuerungen
von Stellgliedern getätigt.
In der DE-OS 38 16 254 wird eine elektronische Steuereinheit zur
Lenkung der Hinterräder eines Straßenfahrzeugs vorgestellt. Bei die
ser Steuereinheit sind zwei Rechner vorhanden, die sich gegenseitig
durch Datenaustausch kontrollieren. Wird eine Fehlfunktion der Rech
ner festgestellt, so wird ein Lenknotsignal an die Lenkeinrichtungen
abgegeben. Bei der hier beschriebenen Steuereinheit sind auch
Watch-Dog-Schaltungen integriert, die bestimmte Zwischenergebnisse
bzw. Endergebnisse der Auswertungen der Rechner vergleichen. Abhän
gig von den Vergleichen kann auf die Fehlfunktion der Rechner ge
schlossen werden.
In der EP-PS 2 84 606 ist eine Vorrichtung zum Rücksetzen von Rech
nereinrichtungen beschrieben. Hierbei wird die Versorgungsspannung
für die Recheneinrichtung kontrolliert und bei Spannungseinbrüchen,
bei denen der Rechner in einen undefinierten Zustand gelangen kann,
werden Rücksetzimpulse an den Rechner gegeben. Hierbei ist dem
Mikroprozessor ein Überwachungssystem (Watch-Dog-Schaltung) zugeord
net, welches die ordnungsgemäße Funktion des Mikroprozessors über
wacht und ein Rücksetzimpuls den Rechnereinheiten dann zuführt, wenn
die Watch-Dog-Schaltung ein irreguläres Verhalten feststellt.
Aufgabe der vorliegenden Erfindung ist es, ein System zur Ansteue
rung von Stellgliedern sicherheitsrelevanter Systeme zu optimieren.
Bei dem erfindungsgemäßen System werden die Stellglieder sicher
heitsrelevanter Systeme durch Signale getätigt, die in wenigstens
zwei Rechnereinheiten bzw. Rechnerkanälen gebildet werden. Jede
Rechnereinheit bzw. jeder Rechnerkanal wird durch eine Überwachungs
einrichtung überwacht. Ansteuerungen der Stellglieder von einer der
Rechnereinheiten bzw. einem der Rechnerkanäle werden nur dann getä
tigt, wenn die zu der Rechnereinheit bzw. zu dem Rechnerkanal
zugehörige Überwachungseinrichtung eine fehlerfreie Funktion der
Rechnereinheit bzw. des Rechnerkanals feststellt. Erfindungsgemäß
kann jede der Überwachungseinrichtungen unabhängig von den Überwa
chungsergebnissen der weiteren Überwachungseinrichtungen bei Erken
nen einer Fehlfunktion der zugehörigen zu überwachenden Rechnerein
heit bzw. des zugehörigen zu überwachenden Rechnerkanals die sicher
heitsrelevanten Systeme in einen sicheren Zustand bringen. Hierdurch
wird ein hohes Sicherheitsniveau der sicherheitsrelevanten Systeme
erreicht, da jede Überwachungseinrichtung die Möglichkeit hat, das
System in einen sicheren Zustand überzuführen.
Erfindungsgemäß sind die Rechnereinheiten bzw. Rechnerkanäle durch
die jeweiligen Überwachungseinrichtungen mit den Stellgliedern der
sicherheitsrelevanten Systeme gekoppelt. Im Falle einer Fehlfunktion
einer der Rechnereinheiten bzw. Rechnerkanäle werden keine Ansteue
rungssignale von der fehlerhaft arbeitenden Rechnereinheit bzw. von
dem fehlerhaft arbeitenden Rechnerkanal den Stellgliedern zugeführt.
Darüber hinaus führt das Erkennen einer Fehlfunktion einer der Rech
nereinheiten bzw. Rechnerkanäle dazu, daß die Stellglieder derart
betätigt werden, daß das sicherheitsrelevante System einen sicheren
Zustand einnimmt. Die Sicherheit des sicherheitsrelevanten Systems
hängt also erfindungsgemäß von Einheiten (Überwachungseinrichtungen)
ab, die niedrigere Komplexität als die zu überwachenden Rechnerein
heiten bzw. Rechnerkanäle aufweisen. Aufgrund dieser niedrigeren
Komplexität haben die Überwachungseinrichtungen somit auch einfache
re Fehlerbilder.
Bei einer besonders vorteilhaften Ausgestaltung des erfindungsgema
ßen Systems weisen die Rechnereinheiten bzw. Rechnerkanäle und die
Überwachungseinrichtungen gemeinsame Mittel zur Spannungsversorgung
auf. Während die Überwachungseinrichtungen innerhalb eines ersten
Spannungsintervalls (ca. 2 Volt bis ca. 40 Volt) bestimmungsgemäß
arbeiten, liegt der Arbeitsbereich der Rechnereinheiten bzw. Rech
nerkanäle innerhalb eines zweiten Spannungsintervalls (ca. 4 Volt
bis ca. 6 Volt). Umfaßt nun das erste Spannungsintervall das zweite,
so ist ein definiertes Verhalten des sicherheitsrelevanten Systems
auch in Bereichen möglich, in denen die Rechnereinheiten bzw. die
Rechnerkanäle nicht mehr definiert arbeiten. Erst durch die Zuord
nung einer Überwachungseinrichtung zu jeder Rechnereinheit bzw. zu
jedem Rechnerkanal und der obenbeschriebenen Wahl der Arbeitsspan
nungsintervalle ist es möglich, die Rechnereinheiten bzw. die Rech
nerkanäle mit nur einer Versorgungsspannung zu versorgen. Dies wirkt
sich vorteilhaft auf die Leistungsführung, das Referenzspannungskon
zept und das ratiometrische Messen analoger Größen aus.
Die unabhängige Überwachung der Rechnereinheiten bzw. der Rechnerka
näle ermöglicht eine Kopplung der Rechnereinheiten bzw. der Rechner
kanäle durch Datenaustauschleitungen (Dual-Port-RAM).
Es ist vorteilhaft, die Überwachungseinrichtungen mit Mitteln zur
Durchführung eines Power-On-Resets auszustatten, die, beispielsweise
über eine externe Kapazität einstellbar, die Einschaltvorgänge der
Rechnereinheiten bzw. der Rechnerkanäle verzögernd tätigen. Weiter
hin können Mittel vorgesehen sein, die die Spannungsversorgung der
Rechnereinheiten bzw. der Rechnerkanäle derart überwachen, indem sie
beispielsweise erfassen, ob die Versorgungsspannung der Rechnerein
heiten bzw. der Rechnerkanäle innerhalb des zulässigen Arbeitsspan
nungsintervalls liegt. Daneben können Mittel vorgesehen sein, die im
Falle eines bestimmungsgemäßen Betriebs der Rechnereinheiten bzw.
der Rechnerkanäle Signale [Watch-Dog-Triggersignale (WD-Trigger)]
erhalten, die eine bestimmte Beschaffenheit aufweisen. Im Falle ei
ner Abweichung dieser Signale von der bestimmten wählbaren Beschaf
fenheit ist von einer Fehlfunktion der zu überwachenden Rechnerein
heit bzw. der zu überwachenden Rechnerkanäle auszugehen.
Wird eine Fehlfunktion einer der Rechnereinheiten bzw. eines Rech
nerkanals festgestellt, so löst die Überwachungseinrichtung einen
dynamischen Reset aus, der die jeweilige Rechnereinheit bzw. den je
weiligen Rechnerkanal zurücksetzt. Darüber hinaus werden die ent
sprechenden anzusteuernden Endstufen durch einen statischen Reset
verriegelt.
Vorteilhaft ist es, die einzelnen Funktionen der Überwachungsrein
richtungen testbar auszulegen. Die Funktionen der Überwachungsein
richtungen können dann bei Beginn und/oder während des Betriebs des
sicherheitsrelevanten Systems programmgemäß getestet werden.
Bei den sicherheitsrelevanten Systemen handelt es sich insbesondere
um Hinterachslenksysteme. Die von den Rechnereinheiten bzw. den
Rechnerkanälen anzusteuernden Stellglieder sind in diesem Falle ins
besondere hydraulische Schalt- und/oder Regelventile. Im Falle einer
Erkennung einer Fehlfunktion der Rechnereinheiten bzw. der Rechner
kanäle durch die Überwachungseinrichtungen wird das zu überwachende
hydraulische Hinterachslenksystem drucklos geschaltet. Dadurch kann
erreicht werden, beispielsweise durch den Abbau des Ansteuerdrucks
einer hydromechanischen Bremse, daß der Lenkwinkel der Räder der
Hinterachse festgehalten werden.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Systems
sind in den Unteransprüchen gekennzeichnet.
Das erfindungsgemäße System wird im folgenden anhand des in den
Zeichnungen dargestellten Ausführungsbeispiels erläutert.
Die Fig. 1 und 2 zeigen Blockschaltbilder eines Ausführungsbei
spiels des erfindungsgemäßen Systems. In der Fig. 3 sind die
zugehörigen Signalverläufe zu sehen.
Die Fig. 1 zeigt mit den Positionen 101, 102, 103 und 104 verschie
dene Sensoren in redundanter oder nicht redundanter Ausführung. Mit
den Positionen 105 und 106 sind Rechnereinheiten bzw. Rechnerkanäle
markiert. Die Position 119 steht für fünfte Mittel zum Datenaus
tausch, während mit der Position 120 sechste Mittel zur Spannungs
versorgung gekennzeichnet sind. Mit der Position 107 sind Überwa
chungseinrichtungen bezeichnet. Die Position 108 stellt Treibermit
tel und die Position 109 ein Abschaltrelais dar. Mit den Positionen
110, 111, 112 und 113 sind Endstufen für die Schalt- bzw. Regelven
tile 114, 115, 116 und 117 zu sehen.
In der Fig. 1 ist die Struktur eines sicherheitsrelevanten Systems
am Beispiel einer Hinterachslenkung dargestellt. Zur Ansteuerung der
Schalt- bzw. Regelventile der hier betrachteten hydraulischen Hin
terachslenkung werden Signale der Sensoren 101, 102, 103 und 104 in
den Rechnereinheiten bzw. Rechnerkanälen 105 und 106 verarbeitet.
Die Sensoren erfassen beispielsweise das vom Fahrer aufgebrachte
Lenkradmoment, den Lenkradwinkel, den Lenkwinkel der lenkbaren Rä
der, die Temperatur des Hydrauliköls, den Beladungszustand des Fahr
zeugs, die Fahrzeuggeschwindigkeit und/oder die Querbeschleunigung
des Fahrzeugs. Die Sensoren können dabei redundant oder nicht redun
dant ausgelegt sein. Nicht redundante Sensoren sind in der Figur l
mit der Position 101 und 104 gekennzeichnet, während redundant aus
gelegte Sensoren mit den Bezugszeichen 102 und 103 gekennzeichnet
sind. Vorteilhafterweise werden die Signale der nicht redundanten
Sensoren beiden Rechnereinheiten bzw. Rechnerkanälen 105 und 106 zu
geführt. Die Signale der redundant ausgelegten Sensoren 102 und 103
werden in verschiedenen Rechnereinheiten bzw. Rechnerkanälen zuge
leitet. Die Rechnereinheiten bzw. Rechnerkanäle 105 und 106 können
Teile eines Gesamtrechners sein (Rechnerkanäle) oder zwei separate
Rechner (Rechnereinheiten). In den Rechnereinheiten bzw.
Rechnerkanälen 105 und 106 werden die Sensorsignale gemäß der ver
wendeten Steuer- bzw. Regelstrategie bearbeitet. Im besonderen kann
bei einem Hinterachslenksystem vorgesehen sein, daß durch eine ge
zielte Betätigung der lenkbar ausgelegten Räder der Hinterachse ab
hängig von den sensorisch ermittelten fahrdynamischen Daten ein Sta
bilitätsgewinn und bessere Kurshaltung, beispielsweise bei Kurven
fahrten, Fahrbahnwechsel, Seitenwind, bei mittleren bis hohen Ge
schwindigkeiten erreicht werden kann. Bei niedrigen Geschwindigkei
ten, beispielsweise beim Einparken im Stadtverkehr, kann durch eine
gezielte Beaufschlagung der Hinterachslenksysteme die Fahrzeugmanö
vrierbarkeit verbessert werden.
Ausgangsseitig der Rechnereinheiten bzw. Rechnerkanäle 105 und 106
liegen die Ansteuersignale zur Ansteuerung der Stellglieder an. Die
se Ansteuerung wird im allgemeinen durch eine Ansteuerung der zu den
Stellgliedern gehörenden Endstufen durch die Rechnersignale getä
tigt. Je nach Ausgestaltung des Stellgliedes liegen also ausgangs
seitig der Rechnereinheiten bzw. Rechnerkanäle 105 und 106 logische
Signale (Logic-In-1, Logic-In-2 . . .) oder analoge Signale Si an. Die
logischen Signale dienen zur Ansteuerung der Schaltventile 114 und
117, während die analogen Signale die Funktion der Regelventile 115
und 116 steuern. Die Schalt- und Regelventile 114 bis 117 können
beispielsweise als Magnetventile ausgelegt sein, wobei die Regelven
tile 115 und 116 den Lenkwinkel der lenkbaren Räder bestimmen und
die Schaltventile 114 und 117 ein redundant ausgelegtes Abschalten
der gesamten Hinterachslenkung bewirken. Dies kann dadurch gesche
hen, daß die Schaltventile 114 und 117 das hydraulische Hinterachs
lenksystem innerhalb kurzer Zeit drucklos schalten. Bei Abbau des
Ansteuerdrucks einer hydromechanisch wirkenden Bremse und/oder von
Zylinder-Sperrventilen wird die Kolbenstange des hydraulischen Hin
terachslenksystems blockiert. Dies bewirkt, daß der gerade einge
stellte Lenkwinkel der Hinterräder unverändert beibehalten wird. Das
gesamte Lenksystem des Fahrzeugs befindet sich dann in einem defi
nierten und sicheren Zustand.
Es kann auch vorgesehen sein, daß durch die Betätigung der
Schalt- und/oder Regelventile eine andere, beispielsweise neutrale,
Lenkstellung der Hinterräder eingenommen wird und darauffolgend das
System in dieser Stellung blockiert wird.
Die logischen Ausgangssignale (Logic-In-1, Logic-In-2 . . .) der Rech
nereinheiten bzw. der Rechnerkanäle 105 und 106 passieren vor Er
reichen der Endstufen 110 und 113 die Treiberstufen 108. Die Trei
berstufen 108 sind mit Schaltungen ausgestattet, die abhängig von
Signalen, die den Treiberstufen von den Überwachungsmitteln 107 zu
geführt werden, die logischen Signale (Logic-In-1 . . .) entweder un
verändert passieren lassen oder derart verändern, daß die Endstufen
verriegelt werden.
Den Überwachungseinrichtungen 107 werden von den Rechnereinheiten
bzw. von den Rechnerkanälen 105 und 106 verschiedene Signale zuge
führt. Andererseits werden den Rechnereinheiten bzw. den Rechnerka
nälen 105 und 106 Reset-Signale von den Überwachungseinrichtungen
107 zugeführt. Der Datenaustausch zwischen den Rechnereinheiten 105
und 106 den Überwachungseinrichtungen 107 und den Treiberstufen 108
wird anhand der Fig. 2 und 3 näher erläutert.
In der Fig. 1 verfügen die Rechnereinheiten bzw. die Rechnerkanäle
105, 106 und die Überwachungseinrichtungen über eine gemeinsame
Spannungsversorgung. Hierzu wird die Batteriespannung UBatt den
sechsten Mitteln 120 zugeführt, die die gemeinsame Spannungsversor
gung der Rechnereinheiten bzw. der Rechnerkanäle 105, 106 und der
Überwachungseinrichtungen 107 darstellen und die gemeinsame Versor
gungsspannung Vcc liefern. Weiterhin werden die Endstufen 110 bis
113 der Schalt- bzw. Regelventile 114 bis 117 durch die Spannung
UBatt über das Abschaltrelais 109 versorgt. Das Abschaltrelais 109
kann von den Treiberstufen 108 bzw. durch die Überwachungseinrich
tungen 107 betätigt werden.
Anhand der Fig. 2 soll im folgenden die Funktionsweise der Überwa
chungseinrichtungen 107 und der Treiberstufen 108 erläutert werden.
Hierzu sind mit der Position 201 erste Mittel zur Durchführung eines
Power-On-Resets dargestellt. Zweite und dritte Mittel zur Überwa
chung der Spannungsversorgung der Rechnereinheiten bzw. der Rechner
kanäle 105 und 106 sind mit den Bezugszeichen 202 und 203 markiert.
Die Position 204 kennzeichnet vierte Mittel, die als
Watch-Dog-Schaltung ausgebildet sind.
Im folgenden soll anhand der Signalverläufe, die in der Fig. 3 ab
gebildet sind, die Funktionsweisen der einzelnen Funktionseinheiten
der Überwachungseinrichtungen 107 erläutert werden. Hierzu sind in
der Fig. 3 verschiedene Signalverläufe über der Zeit t zu sehen.
Durch die ersten Mittel 201 zur Durchführung eines Power-On-Resets
werden die Einschaltvorgänge der Überwachungseinrichtungen 107, bei
spielsweise über eine externe Kapazität einstellbar, verzögernd ge
tätigt. Dieses Verhalten ist in der Fig. 3 in den Signalzügen I und
II innerhalb des Zeitintervalls t = 1 bis t = 3 zu sehen. Der
Signalzug I zeigt das Signal Vcc, das die Spannungsversorgung der
Überwachungsmittel 107 bzw. der Rechnereinheiten bzw. Rechnerkanäle
105 und 106 repräsentiert. Im Bereich des Zeitintervalls t = 1 bis
t = 3 wächst die Versorgungsspannung Vcc beim Einschaltvorgang an.
Ein Power-On-Kondensator bleibt während dieses Einschaltvorgangs so
lange entladen, bis die Versorgungsspannung Vcc die untere Span
nungsschwelle Vu plus einer Hysterese überschreitet. Der Kondensator
wird dann über eine Konstantstromquelle aufgeladen. Erreicht die La
despannung am Kondensator eine gewisse Schwellspannung, so beendet
ein Komparator den Reset und gibt die Überwachungseinrichtung 107
frei. Dieses Verhalten des nicht näher dargestellten Kondensators
ist im Signalzug II in der Fig. 3 innerhalb des Zeitintervalls
t = 2 bis t = 3 zu sehen.
Die untere Spannungsschwelle Vu und die obere Spannungsschwelle Vo
der Versorgungsspannung Vcc stellt ein zweites Spannungsintervall
(ca. 4 Volt bis ca. 6 Volt) dar, indem die Rechnereinheiten bzw.
Rechnerkanäle 105 bzw. 106 bestimmungsgemäß, das heißt definiert,
arbeiten. Die zweiten und dritten Mittel 202 und 203 dienen zur
Überwachung der Spannungsversorgung der Rechnereinheiten bzw. der
Rechnerkanäle 105 und 106. Unterschreitet die Versorgungsspannung
Vcc die untere Spannungsschwelle Vu, wie im Bereich des Zeitinter
valls t = 14 bis t = 17, so wird dies in den dritten Mitteln 203
festgestellt. Ebenso wird ein Überschreiten der oberen Spannungs
schwelle Vo, wie im Bereich des Zeitintervalls t = 21 bis t = 24, in
den zweiten Mitteln 202 erfaßt. Nach Unterschreiten der unteren
Spannungsschwelle Vu oder dem Überschreiten der oberen Spannungs
schwelle Vo löst die Überwachungseinrichtung 107 einen dynamischen
Reset aus, der die Rechnereinheiten bzw. die Rechnerkanäle zurück
setzt. Ebenso wird ein statischer Reset veranlaßt, der die entspre
chenden Endstufen der Stellglieder beispielsweise mittels der Trei
berstufen 108 verriegelt. Das Auslösen des dynamischen Resets als
Folge des Unter- bzw. Überschreitens der unteren bzw. oberen Span
nungsschwelle ist im Signalverlauf V in der Fig. 3 im Bereich des
Zeitintervalls t = 14 bis t = 17,5 zu sehen. Unterschreitet die Ver
sorgungsspannung Vcc zum Zeitpunkt t = 15 die untere Spannungs
schwelle Vu, so wird der dynamische Resetausgang auf das Level L ge
setzt, wodurch die Rechnereinheiten bzw. die Rechnerkanäle 105 und
106 zurückgesetzt werden. Überschreitet die Versorgungsspannung Vcc
die untere Spannungsschwelle Vu (Zeitpunkt t = 16), so wird die
obenbeschriebene Einschaltprozedur durchgeführt. Das heißt, daß der
Power-On-Kondensator zur Zeit t = 16 wie oben beschrieben aufgeladen
wird bis die Ladespannung am Kondensator eine bestimmte Schwellspan
nung erreicht, wodurch die Rechnereinheiten bzw. die Rechnerkanäle
105 und 106 wieder neu gestartet werden. Ebenso wird bei Unter
schreitung der unteren Spannungsschwelle Vu zur Zeit t = 15 das im
Signalzug VI zu sehende statische Reset-Signal auf das Level L ge
setzt. Liegt ausgangsseitig der Überwachungseinrichtungen 107 das
statische Resetsignal auf dem Level L, so werden in den Treiberstu
fen 108 die Ansteuerungen der Endstufen der Stellglieder unterbun
den. Auch nach einem Neustart der Rechnereinheiten bzw. der Rechner
kanäle durch das dynamische Resetsignal (Zeitpunkt t = 17) bleiben
die Endstufen verriegelt. Analoges Verhalten ist im Zeitintervall
t = 21 bis t = 24 zu sehen, indem die Versorgungsspannung Vcc die
obere Spannungsschwelle Vo überschreitet. Auch in diesem Falle wer
den die Rechnereinheiten bzw. die Rechnerkanäle durch einen
Power-On-Reset bzw. durch ein dynamisches Reset-Signal neu gestar
tet, während die Endstufen verriegelt bleiben.
Durch die Funktionsweise der zweiten und dritten Mitteln 202 und 203
wird sichergestellt, daß keine Endstufenansteuerungen durch die
Rechnereinheit bzw. durch den Rechnerkanal stattfindet, die bzw. der
aufgrund eines Unter- bzw. Überschreitens der Versorgungsspannung
Vcc nicht definiert arbeitet. Wie in der Fig. 2 zu sehen ist, geben
also die zweiten Mittel 202 und 203 bei Über- bzw. Unterschreiten
der Spannungsschwellen Signale an die ersten Mittel 202
(Power-On-Reset), die wiederum die vierten Mittel 204 derart an
steuern, daß ein dynamischer bzw. statischer Reset ausgelöst wird.
Die Funktionen der zweiten und dritten Mittel 202 und 203 sind test
bar ausgelegt. Hierzu können die zweiten und dritten Mittel 202 und
203 beim Beginn und/oder während des programmgemäßen Betriebs der
sicherheitsrelevanten Systeme durch Testimpulse (Test-In 1,
Test-In 2) beaufschlagt werden, wobei Testzyklen während des pro
grammgemäßen Betriebs der sicherheitsrelevanten Systeme nur schwie
rig zu realisieren sind, da das System relativ lange aussetzt. Hier
durch wird ein Unter- bzw. Überschreiten der Versorgungsspannung Vcc
unter die untere Schwelle Vu bzw. über die obere Schwelle Vo simmu
liert. Solch eine Testphase ist im Signalzug VI im Zeitintervall
t = 30 bis t = 31 zu sehen. Programmgemäß wird, wie oben beschrie
ben, ein dynamischer und ein statischer Reset ausgelöst, während die
Power-On-Schaltung (erste Mittel 201) einen Einschaltvorgang bewir
ken. Da die Rechnereinheiten bzw. die Rechnerkanäle während eines
solchen Tests resetet werden, muß beispielsweise durch einen nicht
flüchtigen Speicher sichergestellt sein, daß nach dem Resetvorgang
in den Rechnereinheiten bzw. Rechnerkanälen gespeichert ist, ob der
abgeschlossene Resetvorgang absichtlich, das heißt testhalber,
durchgeführt wurde oder ob ein wirklicher Fehler vorliegt. Ebenso
muß beispielsweise in einen nichtflüchtigen Speicher der Rechnerein
heiten bzw. Rechnerkanäle gespeichert sein, welcher Test (Über- oder
Unterschreiten der Spannungsschwellen) zu einem Reset geführt hat.
Das obenbeschriebene Testverfahren wird also von den Rechnereinhei
ten bzw. den Rechnerkanälen 105 und 106 ausgehend durchgeführt, wo
bei die Funktionen der Überwachungseinheiten 107 getestet werden.
Die vierten Mittel 204 sind als Watch-Dog-Schaltungen ausgebildet,
die den Betrieb der Rechnereinheiten bzw. der Rechnerkanäle 105 und
106 überwachen. Hierzu werden den vierten Mitteln 204 von den zu
überwachenden Rechnereinheiten bzw. Rechnerkanälen 105 und 106 erste
Signale zugeführt, sogenannte Watch-Dog-Trigger-Signale
(WD-Trigger). Diese ersten Signale sind in der Fig. 3 im Signalzug
IV zu sehen. Bei bestimmungsgemäßem Betrieb der Rechnereinheiten
bzw. Rechnerkanäle 105 und 106 liefern die Rechnereinheiten bzw.
Rechnerkanäle äquidistante gleichartige Signale. Dies ist in der Fi
gur 3 im Signalzug IV im Zeitintervall t = 4 bis t = 8, bei t = 18
bis t = 21 und im Zeitintervall t = 25 bis t = 29 zu sehen. Weichen
die ersten Signale von dieser obenbeschriebenen bestimmten wählbaren
Beschaffenheit ab, so wird in den Mitteln 204 die nicht bestimmungs
gemäße Arbeitsweise der zu überwachenden Rechnereinheiten bzw. Rech
nerkanäle erfaßt. Diese Erfassung kann wie folgt beschrieben getä
tigt werden.
Durch die erste negative Flanke (Zeitpunkt t = 4) des
WD-Trigger-Signals wird ein R/C-Glied "scharf gemacht", das heißt
daß die Kapazität C über den Widerstand R geladen wird. Die das
R/C-Glied durchlaufenden WD-Trigger-Signale sind in der Fig. 3 im
Signalzug III zu sehen. Der Kondensator C des R/C-Gliedes wird mit
der negativen Flanke des folgenden WD-Trigger-Impulses (Zeitpunkt
t = 5) entladen. Bei bestimmungsgemäßer Funktion der Rechnereinhei
ten bzw. Rechnerkanäle 105 und 106 (beispielsweise Zeitintervall
t = 4 bis t = 8) liegen ausgangsseitig des R/C-Gliedes die im
Signalzug III (Zeitintervall t = 4 bis t = 8) zu sehenden Watch-Dog
R/C-Signals (WD-R/C-Signals) an. Bei bestimmungsgemäßen, das heißt
fehlerfreiem Betrieb der Rechnereinheiten bzw. Rechnerkanäle 105 und
106 liegen die WD-R/C-Signale (Signalzug III) vor dem Entladen des
Kondensators C innerhalb eines Spannungsfensters, das durch eine un
tere Schwelle A und einer oberen Schwelle B gekennzeichnet ist.
Sollte nun das WD-Trigger-Signal (Signalzug IV) zu kurz sein, so
wird die untere Schwelle A nicht erreicht. Dies ist in dem Zeitin
tervall t = 8 und t = 9 in den Signalzügen III bzw. IV zu sehen. Ein
solches Nichterreichen der unteren Schwelle A wird als Fehlerereig
nis gespeichert. Sollte die WD-Trigger-Zeit zu lang sein (Zeitinter
vall t = 11 bis Zeitintervall t = 13), so wird das Fehlerereignis
wiederum gespeichert und der Kondensator C wird bei Erreichen der
Schwelle B entladen. Nach Erreichen der Entladeschwelle C beginnt
der Ladevorgang von neuem. Sind die WD-Trigger-Impulse (Signalzug
IV) zu früh (Zeitpunkt t = 9) bzw. zu spät (Zeitpunkt t = 13) so
ist davon auszugehen, daß die Rechnereinheit bzw. der Rechnerkanal,
der die WD-Trigger-Impulse sendet, nicht ordnungsgemäß arbeitet. In
den vierten Mitteln 204 werden in diesen Fällen die Fehlfunktionen
dadurch erkannt, daß die WD-Trigger-Signale nicht in das vorgesehene
Spannungsfenster fallen. In diesen Fällen werden, beispielsweise zu
den Zeitpunkten t = 9 bzw. t = 12, dynamische und statische Resets
ausgelöst. Während das dynamische Resetsignal ein Rücksetzen der
Rechnereinrichtungen bzw. der Rechnerkanäle bewirkt, bleiben die an
zusteuernden Endstufen durch das statische Resetsignal solange ver
riegelt, bis der zweite WD-Trigger-Impuls (zur Zeit t = 11) ord
nungsgemäßen von den Rechnereinheiten bzw. den Rechnerkanälen ge
liefert wird. Eine ähnliche Prozedur geschieht beim Einschalten der
Überwachungseinrichtung. Ab einer Spannung, die so niedrig ist, daß
die anzusteuernden Endstufen noch nicht betätigt werden, liegen die
statischen Reset-Signale auf einem definierten Pegel und verriegeln
die Endstufen (Zeitpunkt t = 4 bis t = 6). Nach dem Eingang des er
sten WD-Trigger-Impulses (Signalzug IV), dem obenbeschriebenen
"Scharfmacher", werden die Endstufen erst bei ordnungsgemäßem Ein
gang des zweiten Triggerimpulses (Zeitpunkt t = 6) durch Anheben des
statischen Resetsignals auf das Level H entriegelt.
Die Funktion der vierten Mittel 204 sind dadurch überprüfbar, daß
die Rechnereinrichtungen bzw. die Rechnerkanäle die Watch-Dog-Schal
tung (vierte Mittel 204) programmgemäß auslösen, indem sie programm
gemäß "falsche" und/oder keine Triggerimpulse an die vierten Mittel
204 liefern. In den Rechnereinrichtungen bzw. Rechnerkanälen kann
nun die Zeit erfaßt werden, die von einem solchen programmgemäß ge
tätigten Triggerimpuls bis zum dynamischen Reset vergeht. Durch Ver
gleiche dieser Zeiten mit vorgegebenen Sollzeiten kann auf die ord
nungsgemäße Funktionsweise der vierten Mittel 204 geschlossen wer
den. Auch bei diesem Test wird der Rechner durch das dynamische Re
setsignal zurückgesetzt. Um zu unterscheiden, ob das Zurücksetzen
absichtlich testhalber durchgeführt wurde oder ob ein wirklicher
Fehler vorliegt, muß in den Rechnereinheiten bzw. den Rechnerkanälen
der Zeitpunkt und die Art des Tests in nichtflüchtigen Speichern
abgelegt werden.
Als weitere vorteilhafte Ausgestaltung können die testhalber getä
tigten "falschen" Triggerimpulse zeitlich derart gewählt werden, daß
das im Signalzug III (Fig. 3) dargestellte Spannungsfenster (untere
Schwelle A und obere Schwelle B) überprüft wird. So kann beispiels
weise die untere Schwelle A dadurch überprüft werden, indem von den
Rechnereinheiten bzw. den Rechnerkanälen 105 und 106
Watch-Dog-Trigger-Signale testhalber eine bestimmte Zeit delta t "zu
früh" an die Überwachungseinrichtung 107 übermittelt werden. Die
Zeit delta t kann nun von kleinen Werte beginnend soweit vergrößert
werden, bis durch ein Unterschreiten der unteren Schwelle A ein dy
namischer Reset ausgelöst wird. Wird ein solcher dynamischer Reset
ausgelöst, so kann aus der zugehörigen Zeit delta t die zeitliche
Lage der unteren Schwelle A bestimmt werden. Eine Überprüfung der
oberen Schwelle B erfolgt analog.
Die Funktionsweise der Treiberstufen 108 soll im folgenden aufge
zeigt werden.
Von den Überwachungsreinrichtungen 107 werden den Treiberstufen 108
statische Resetsignale zugeführt. Die Treiberstufen 108 sind als
UND-Gatter mit open-collector-Ausgängen ausgebildet. Wie in der Dar
stellung der Treiberstufen 108 in der Fig. 1 angedeutet, liegt an
jeweils einem Eingang der UND-Gatter das statische Resetsignal EN
an. Die zweiten Eingänge der UND-Gatter sind mit den Ansteuersigna
len der Schaltventile Logic-In-1, Logic-In-2 usw. verbunden. Ermit
teln die Überwachungseinrichtungen 107 eine ordnungsgemäße Funktion
der Rechnereinheiten bzw. Rechnerkanäle 105 und 106, so liegt das
statische Resetsignal (Signalzug VI in der Fig. 3) auf dem Level H.
In diesem Falle werden die Eingangssignale Logic-In-1 usw. der Trei
berstufen 108 unbeeinflußt als Ausgangssignale an die Endstufen
durchgeleitet. Bei der Erfassung eines nicht ordnungsgemäßen Arbei
tens der Rechnereinheiten bzw. Rechnerkanäle 105 und 106 liefern die
Überwachungseinrichtungen 107 das statische Resetsignal (Signalzug
VI in der Fig. 3) mit dem Level L. In diesem Falle werden die Ein
gangssignale der Treiberstufen 108 Logic-In-1 usw. derart beein
flußt, daß die Ausgangssignale der Treiberstufen 108 Logic-Out-1
usw. eine Verriegelung der Endstufen bewirken. Dies kann bedeuten,
daß im Falle einer hydraulischen Hinterachslenkung die Schaltventile
114 oder 117 derart geschaltet werden, daß das System, wie oben be
schrieben, drucklos wird und einen sicheren Betriebszustand einnimmt.
Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Systems be
steht darin, daß zur gegenseitigen Funktionskontrolle der Rechner
einheiten bzw. der Rechnerkanäle 105 und 106 fünfte Mittel 119 zum
Datenaustausch zwischen den einzelnen Rechnereinheiten bzw. den ein
zelnen Rechnerkanälen 105 und 106 vorgesehen sind. Hierzu können die
Rechnereinheiten bzw. Rechnerkanäle 105 und 106 mittels eines ge
meinsamen elektronischen Bauelements zur Kommunikation zwischen den
Rechnereinheiten (Inter Controller Communication ICC) verbunden
sein, wobei dieses Bauelement Speicherbereiche aufweist, in denen
jede Rechnereinheit bzw. jeder Rechnerkanal 105 und 106 Daten je
weils nur einschreiben oder auslesen kann. Dabei können die Spei
cherbereiche, in denen die eine Rechnereinheit bzw. der eine Rech
nerkanal 105 oder 106 Daten einschreiben kann, von der jeweils ande
ren Rechnereinheit bzw. dem jeweils anderen Rechnerkanal (105, 106)
nur ausgelesen werden. Da prinzipiell jede Rechnereinheit bzw. jeder
Rechnerkanal auf alle Speicherzellen lesen und schreiben kann, ob
liegt es dem Fachmann, auch andere Speicherorganisationen eines sol
chen Dual-Port-RAM zu erzeugen.
Das erfindungsgemäße System ist nicht nur auf die Ansteuerung von
Stellgliedern einer Hinterachslenkung beschränkt, sondern ebenso an
wendbar auf die Ansteuerung von Stellgliedern anderer sicherheits
relevanter Systeme wie beispielsweise elektrische Drosselklappen
steller, Vorderradlenksysteme, Antiblockiersysteme, Fahrwerkrege
lungssysteme und Brennkraftmaschinensteuerungssysteme.
Claims (10)
1. System zur Ansteuerung sicherheitsrelevanter Systeme, insbesonde
re zur Ansteuerung von Lenksystemen bei Kraft- und Nutzfahrzeugen,
mit Stellgliedern zur Betätigung der sicherheitsrelevanten Systeme,
wobei die Signale zur Ansteuerung der Stellglieder durch wenigstens
zwei Rechnereinheiten bzw. Rechnerkanälen (105, 106) gebildet werden
und jeweils einer Rechnereinheit bzw. einem Rechnerkanal (105, 106)
eine Überwachungseinrichtung (107) zugeordnet ist, dadurch gekenn
zeichnet, daß
- - Ansteuerungen der Stellglieder von einer der Rechnereinheiten bzw. Rechnerkanäle (105, 106) nur dann getätigt werden, wenn die zu der Rechnereinheit bzw. zu dem Rechnerkanal (105, 106) zuge hörige Überwachungseinrichtung (107) eine fehlerfreie Funktion der Rechnereinheit bzw. des Rechnerkanals (105, 106) feststellt und
- - jede der Überwachungseinrichtungen (107) unabhängig von den Über wachungsergebnissen der weiteren Überwachungseinrichtungen bei Erkennen einer Fehlfunktion der zugehörigen zu überwachenden Rechnereinheit bzw. des zugehörigen zu überwachenden Rechnerka nals (105, 106) die sicherheitsrelevanten Systeme in einen sicheren Zustand bringt.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß die Rechner
einheiten bzw. Rechnerkanäle (105, 106) und die Überwachungseinrich
tungen (107) gemeinsame sechste Mittel (120) zur Spannungsversorgung
aufweisen und die Überwachungseinrichtungen (107) innerhalb eines
ersten Spannungsintervalls (ca. 2 V bis ca. 40 V) bestimmungsgemäß ar
beiten und die Rechnereinheiten bzw. Rechnerkanäle (105, 106) inner
halb eines zweiten Spannungsintervalls (ca. 4 V bis ca. 6 V) bestim
mungsgemäß arbeiten und das zweite Spannungsintervall innerhalb des
ersten Spannungsintervalls liegt.
3. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß in den Überwachungseinrichtungen (107)
- - erste Mittel (201) zur Durchführung eines Power-On-Resets vorge sehen sind, die, beispielsweise über eine externe Kapazität ein stellbar, die Einschaltvorgänge der Überwachungseinrichtungen (107) verzögernd tätigen, und/oder
- - zweite und dritte Mittel (202, 203) zur Überwachung der Span nungsversorgung der Rechnereinheiten bzw. der Rechnerkanäle (105, 106) vorgesehen sind, die beispielsweise erfassen, ob die Versor gungsspannung der Rechnereinheiten bzw. Rechnerkanäle (105, 106) innerhalb eines zweiten Spannungsintervalls, in dem Rechnerein heiten bzw. Rechnerkanäle (105, 106) bestimmungsgemäß arbeiten, liegt und eine fehlerhafte Funktion der zu überwachenden Rechner einheiten bzw. Rechnerkanäle (105, 106) feststellt, wenn die Ver sorgungsspannung einen Wert aufweist, der außerhalb des zweiten Spannungsintervalls ist, und/oder
- - vierte Mittel (204) als Watch-Dog Schaltung ausgebildet sind, die im Falle eines bestimmungsgemäßen Betriebs der Rechnereinheiten bzw. Rechnerkanäle (105, 106) erste Signale bestimmter wählbarer Beschaffenheit von den Rechnereinheiten bzw. Rechnerkanälen (105, 106) erhalten und im Falle einer Abweichung der ersten Signale von der bestimmten wählbaren Beschaffenheit auf eine Fehlfunktion der zu überwachenden Rechnereinheiten bzw. Rechnerkanäle (105, 106) schließen.
4. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß die Funktion der zweiten und dritten Mit
tel (202, 203) und/oder der vierten Mittel (204) testbar ausgelegt
sind.
5. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß die Funktion der zweiten und dritten Mit
tel (202, 203) und/oder der vierten Mittel (204) beim Beginn
und/oder während des programmgemäßen Betriebs der sicherheitsrele
vanten Systeme programmgemäß getestet werden.
6. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß die von den Rechnereinheiten bzw. Rechner
kanälen (105, 106) anzusteuernden Stellglieder hydraulische
Schalt- und/oder Regelventile sind, die insbesondere in einem Hin
terachslenksystem verwendet werden.
7. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß im Falle einer Erkennung einer Fehlfunk
tion der Rechnereinheiten bzw. Rechnerkanäle (105, 106) durch die
Überwachungseinrichtungen (107) das zu überwachende hydraulische
Hinterachslenksystem drucklos geschaltet wird, wodurch, beispiels
weise durch den Abbau des Ansteuerdruckes einer hydromechanischen
Bremse, ein Festhalten der Lenkwinkel der Räder der Hinterachse er
reicht wird.
8. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß zur gegenseitigen Funktionskontrolle der
Rechnereinheiten bzw. Rechnerkanäle (105, 106) fünfte Mittel (119)
zum Datenaustausch zwischen den einzelnen Rechnereinheiten bzw.
Rechnerkanälen (105, 106) vorgesehen sind.
9. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß die Rechnereinheiten bzw. Rechnerkanäle
(105, 106) zum Datenaustausch mittels eines gemeinsamen elektroni
schen Bauelements (ICC) verbunden sind und dieses Bauelement (ICC)
beispielsweise Speicherbereiche aufweist, in denen jede Rechnerein
heit bzw. jeder Rechnerkanal (105, 106) Daten jeweils nur einschrei
ben oder nur auslesen kann, und die Speicherbereiche, in denen die
eine Rechnereinheit bzw. der eine Rechnerkanal (105, 106) Daten ein
schreiben kann von den anderen Rechnereinheiten bzw. den anderen
Rechnerkanälen (105, 106) nur ausgelesen werden können.
10. System nach wenigstens einem der vorhergehenden Ansprüche, da
durch gekennzeichnet, daß die von den Rechnereinheiten bzw. Rechner
kanälen (105, 106) anzusteuernden Stellglieder zu sicherheitsrele
vanten Systemen gehören und diese sicherheitsrelevanten Systeme bei
spielsweise elektrische Drosselklappensteller, Vorderradlenksysteme,
Antiblockiersysteme, Fahrwerkregelungssysteme und Brennkraftmaschi
nensteuerungssysteme sind.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19914124987 DE4124987A1 (de) | 1991-07-27 | 1991-07-27 | System zur ansteuerung sicherheitsrelevanter systeme |
| EP19920112391 EP0525574A3 (en) | 1991-07-27 | 1992-07-20 | System for controlling failsafe-systems |
| JP4198046A JPH05274166A (ja) | 1991-07-27 | 1992-07-24 | 安全関連装置を制御する装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19914124987 DE4124987A1 (de) | 1991-07-27 | 1991-07-27 | System zur ansteuerung sicherheitsrelevanter systeme |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE4124987A1 true DE4124987A1 (de) | 1993-01-28 |
Family
ID=6437183
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19914124987 Ceased DE4124987A1 (de) | 1991-07-27 | 1991-07-27 | System zur ansteuerung sicherheitsrelevanter systeme |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP0525574A3 (de) |
| JP (1) | JPH05274166A (de) |
| DE (1) | DE4124987A1 (de) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4424020A1 (de) * | 1994-07-08 | 1996-01-11 | Telefunken Microelectron | Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen |
| DE4443617A1 (de) * | 1994-12-07 | 1996-06-20 | Siemens Ag | Leitsystem zur Führung eines Chargenprozesses |
| DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
| US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
| DE102008047772A1 (de) * | 2008-09-17 | 2010-04-15 | Volkswagen Ag | Servo-Lenksystem und Verfahren zum Betreiben eines Servo-Lenksystems |
| US20120065823A1 (en) * | 2010-09-13 | 2012-03-15 | Denso Corporation | Electronic control unit for vehicles |
| DE102010050818A1 (de) * | 2010-11-09 | 2012-05-10 | Volkswagen Ag | Kraftfahrzeug mit elektrischer Hilfskraftlenkung |
| DE102014117411A1 (de) * | 2014-11-27 | 2016-06-02 | Hella Kgaa Hueck & Co. | Logikschaltkreis zum Halten des Schaltzustands von Schaltausgängen |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3496278B2 (ja) * | 1994-07-21 | 2004-02-09 | 住友電気工業株式会社 | アンチロックブレーキ制御装置 |
| JP3428181B2 (ja) * | 1994-11-16 | 2003-07-22 | 住友電気工業株式会社 | アンチスキッド制御装置 |
| US5742507A (en) | 1994-11-25 | 1998-04-21 | Itt Automotive Europe Gmbh | Driving stability control circuit with speed-dependent change of the vehicle model |
| DE4446314A1 (de) * | 1994-12-23 | 1996-06-27 | Teves Gmbh Alfred | Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung |
| ATE195819T1 (de) * | 1995-05-11 | 2000-09-15 | Siemens Ag | Einrichtung zur numerischen steuerung einer werkzeugmaschine oder eines roboters |
| JP3257971B2 (ja) * | 1997-09-12 | 2002-02-18 | 本田技研工業株式会社 | 電動パワーステアリング装置 |
| JP3839142B2 (ja) * | 1997-09-19 | 2006-11-01 | 本田技研工業株式会社 | 電動機駆動装置 |
| DE19834870A1 (de) * | 1998-08-01 | 2000-02-03 | Bosch Gmbh Robert | Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller |
| FR2790857B1 (fr) * | 1999-03-12 | 2001-09-07 | Siemens Automotive Sa | Systeme de securite pour vehicule automobile |
| KR100352023B1 (ko) * | 1999-09-03 | 2002-09-11 | 가야바코교 가부시기가이샤 | 페일세이프기구 |
| DE102007052512B3 (de) | 2007-10-26 | 2009-04-09 | Pilz Gmbh & Co. Kg | Steuereinrichtung für eine Sicherheitsschaltvorrichtung, Sicherheitsschaltvorrichtung, Verwendung einer Steuereinrichtung und Verfahren zum Steuern einer Sicherheitsschaltvorrichtung |
| DE102009045000A1 (de) * | 2009-09-25 | 2011-03-31 | Robert Bosch Gmbh | Verfahren und Datenausgabeüberwachungseinheit zur Sicherstellung einer Datenausgabe von fehlerfreien Daten einer Datenverarbeitungseinheit auf einen Datenbus |
| JP5590955B2 (ja) | 2010-04-26 | 2014-09-17 | ナブテスコ株式会社 | アクチュエータ制御システム |
| DE102011011755A1 (de) | 2011-02-18 | 2012-08-23 | Conti Temic Microelectronic Gmbh | Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug |
| JP6057968B2 (ja) | 2014-10-07 | 2017-01-11 | 三菱重工業株式会社 | エンジン制御システム、車両システム及びエンジン制御方法 |
| JP6956797B2 (ja) * | 2017-10-24 | 2021-11-02 | 三菱電機株式会社 | 判定装置、判定システム及び判定方法 |
| DE102019216342B3 (de) * | 2019-10-23 | 2021-02-11 | Thyssenkrupp Ag | Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4621327A (en) * | 1984-06-13 | 1986-11-04 | Nartron Corporation | Electronic power steering method and apparatus |
| JPH0796388B2 (ja) * | 1987-04-13 | 1995-10-18 | 株式会社日立製作所 | 電動式パワ−ステアリング装置 |
| DE3816254A1 (de) * | 1988-05-11 | 1989-11-23 | Siemens Ag | Steuereinheit zur lenkung der hinterraeder eines strassenfahrzeuges |
| DE3825280A1 (de) * | 1988-07-26 | 1990-02-01 | Bayerische Motoren Werke Ag | Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs |
-
1991
- 1991-07-27 DE DE19914124987 patent/DE4124987A1/de not_active Ceased
-
1992
- 1992-07-20 EP EP19920112391 patent/EP0525574A3/de not_active Withdrawn
- 1992-07-24 JP JP4198046A patent/JPH05274166A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4424020A1 (de) * | 1994-07-08 | 1996-01-11 | Telefunken Microelectron | Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen |
| US5726887A (en) * | 1994-07-08 | 1998-03-10 | Temic Telefunken Microelectronic Gmbh | Test procedure for a safety system in a motor vehicle |
| DE4443617A1 (de) * | 1994-12-07 | 1996-06-20 | Siemens Ag | Leitsystem zur Führung eines Chargenprozesses |
| DE19717686A1 (de) * | 1997-04-28 | 1998-10-29 | Itt Mfg Enterprises Inc | Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem |
| US6410993B1 (en) | 1997-04-28 | 2002-06-25 | Continental Teves Ag & Co., Ohg | Circuit configuration for a motor vehicle control system |
| US6275752B1 (en) | 1997-05-16 | 2001-08-14 | Continental Teves Ag & Co., Ohg | Microprocessor system for automobile control systems |
| DE102008047772A1 (de) * | 2008-09-17 | 2010-04-15 | Volkswagen Ag | Servo-Lenksystem und Verfahren zum Betreiben eines Servo-Lenksystems |
| US20120065823A1 (en) * | 2010-09-13 | 2012-03-15 | Denso Corporation | Electronic control unit for vehicles |
| DE102010050818A1 (de) * | 2010-11-09 | 2012-05-10 | Volkswagen Ag | Kraftfahrzeug mit elektrischer Hilfskraftlenkung |
| DE102010050818B4 (de) * | 2010-11-09 | 2021-07-01 | Volkswagen Ag | Kraftfahrzeug mit elektrischer Hilfskraftlenkung |
| DE102014117411A1 (de) * | 2014-11-27 | 2016-06-02 | Hella Kgaa Hueck & Co. | Logikschaltkreis zum Halten des Schaltzustands von Schaltausgängen |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH05274166A (ja) | 1993-10-22 |
| EP0525574A3 (en) | 1993-05-12 |
| EP0525574A2 (de) | 1993-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE4124987A1 (de) | System zur ansteuerung sicherheitsrelevanter systeme | |
| EP0352759B1 (de) | Steuersystem fur Stelleinrichtungen eines Kraftfahrzeugs | |
| EP0814981B1 (de) | Verfahren und vorrichtung zur steuerung bzw. regelung der bremsanlage eines fahrzeugs | |
| EP1220773B1 (de) | System zur steuerung von fahrzeugkomponenten nach dem "drive by wire"-prinzip | |
| EP1332083B1 (de) | Verfahren zum steuern eines steer-by-wire-lenksystems | |
| EP0418258B2 (de) | Steuereinheit zur lenkung der hinterräder eines strassenfahrzeuges | |
| DE19806821C2 (de) | Störungsfeststellungseinrichtung zur Feststellung einer Störung in einem Magnetventil | |
| DE3639065C2 (de) | Verfahren zur Überwachung eines rechnergesteuerte Stellglieder ansteuernden Prozeßrechners | |
| EP1349759A1 (de) | Vorrichtung zur überwachung von in einem fahrzeug angeordneten sensormitteln | |
| EP0512240A1 (de) | System zur Steuerung eines Kraftfahrzeuges | |
| EP0415039B1 (de) | Elektronische Schaltung zur Überwachung eines Endverstärkers und seiner Last | |
| EP1092177B1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
| WO1993009020A1 (de) | Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten | |
| EP0712360B1 (de) | Regelschaltung für bremsanlagen mit abs und/oder asr | |
| DE19631309A1 (de) | Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem | |
| WO2007025844A1 (de) | Verfahren zur verfügbarkeitserhöhung von kraftfahrzeugmotoren | |
| EP0552487A2 (de) | Elektronisches Steuersystem für ein elektromagnetisches Stellmittel in einem Kraftfahrzeug mit einem Steuergerät | |
| EP1188640B1 (de) | Vorrichtung und Verfahren zur elektronischen Steuerung eines einem Regelsystem zugeordneten Aktuators in Kraftfahrzeugen | |
| DE102017109175A1 (de) | Steuereinrichtung, Fahrerassistenzsystem, Kraftfahrzeug und Verfahren zum Steuern einer Fahrerassistenzfunktion | |
| DE4219457A1 (de) | Rechnersystem | |
| EP1051315B1 (de) | Verfahren und vorrichtung zur steuerung oder regelung der bremsanlage eines fahrzeuges nach dem "brake-by-wire"-prinzip | |
| DE19511162A1 (de) | Bremssystem für ein Kraftfahrzeug | |
| DE4017045C2 (de) | ||
| EP3468849B1 (de) | Verfahren zum überwachen einer abs-regelung in einem elektrisch steuerbaren bremssystem sowie elektronisch steuerbares bremssystem | |
| EP3733482B1 (de) | Lenkanordnung, fahrzeug und verfahren |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| 8120 | Willingness to grant licenses paragraph 23 | ||
| 8131 | Rejection |